Documentos de Académico
Documentos de Profesional
Documentos de Cultura
06 Malware
06 Malware
MALWARE
License for Use Information
The following lessons and workbooks are open and publicly available under the following
terms and conditions of ISECOM:
ll works in the !acker !ighschool pro"ect are provided for non#commercial use with
elementary school students$ "unior high school students$ and high school students whether in a
public institution$ private institution$ or a part of home#schooling% These materials may not be
reproduced for sale in any form% The provision of any class$ course$ training$ or camp with
these materials for which a fee is charged is e&pressly forbidden without a license including
college classes$ university classes$ trade#school classes$ summer or computer camps$ and
similar% To purchase a license$ visit the 'ICE(SE section of the !acker !ighschool web page at
www%hackerhighschool%org)license%
The !!S *ro"ect is a learning tool and as with any learning tool$ the instruction is the influence
of the instructor and not the tool% ISECOM cannot accept responsibility for how any
information herein is applied or abused%
The !!S *ro"ect is an open community effort and if you find value in this pro"ect$ we do ask
you support us through the purchase of a license$ a donation$ or sponsorship%
ll works copyright ISECOM$ +,,-%
Informacin sobre la Licencia de Uso
'as lecciones y cuadernos de traba"o siguientes son de acceso p.blico y est/n disponibles
ba"o las siguientes condiciones de ISECOM:
Todos los traba"os del proyecto 0!acker !ighschool1 son proporcionados para su uso no
comercial con estudiantes de escuelas primarias$ secundarias$ bachilleratos y ciclos
formativos dentro de las actividades acad2micas propias de la instituci3n% 4ichos materiales
no pueden ser reproducidos con fines comerciales de ning.n tipo% 'a impartici3n con estos
materiales de cual5uier clase$ curso o actividad de formaci3n para el 5ue sea necesario
pagar un importe$ 5ueda totalmente prohibida sin la licencia correspondiente$ incluyendo
cursos en escuelas y universidades$ cursos comerciales o cual5uier otro similar% *ara la
compra de una licencia visite la secci3n 0'ICE(SE1 de la p/gina web del proyecto 0!acker
!ighschool1 en www%hackerhighschool%org)license%
El proyecto !!S es una herramienta de aprendi6a"e y$ como tal$ la formaci3n final debe
proceder realmente de la influencia del instructor y no basarse .nicamente en el uso de la
herramienta%
ISECOM no puede aceptar ba"o ning.n concepto responsabilidad alguna sobre la forma de
aplicar$ ni sus consecuencias$ de cual5uier informaci3n disponible dentro del proyecto% El
proyecto !!S es un esfuer6o de una comunidad abierta$ por lo 5ue si encuentra .til este
proyecto le invitamos a patrocinarlo a trav2s de la compra de una licencia$ una donaci3n o
un patrocinio%
Todos los 4erechos 7eservados ISECOM$ +,,-%
2
LECCIN 6 MALWARE
ndice
0'icense for 8se1 Information%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% +
Informaci3n sobre la 0'icencia de 8so1%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% +
Contribuciones%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% -
9%, Introducci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%:
9%; <irus %%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%9
9%;%; Introducci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%9
9%;%+ 4escripci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%9
9%;%+%; <irus de Sector de rran5ue =>oot Sector <iruses?%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%9
9%;%+%+ <irus de rchivos E"ecutables%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%9
9%;%+%@ <irus 7esidentes en Memoria =Terminate and Stay 7esident # TS7?%%%%%%%%%%%%%%%%%%%%%%%%%%%% A
9%;%+%- <irus *olim3rfico%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% A
9%;%+%: <irus de Macro%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% A
9%+ Busanos%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%C
9%+%; Introducci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%C
9%+%+ 4escripci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%C
9%@ Troyanos y Spyware%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%C
9%@%; Introducci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%C
9%@%+ 4escripci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%C
9%- 7ootkits y >ackdoors%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% D
9%-%; Introducci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%D
9%-%+ 4escripci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%D
9%: >ombas '3gicas y >ombas de Tiempo%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% ;,
9%:%; Introducci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;,
9%:%+ 4escripci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;,
9%9 Contramedidas%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% ;,
9%9%; Introducci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;,
9%9%+ nti#<irus%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;;
9%9%@ (I4S =Sistemas de detecci3n de intrusiones de red?%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% ;;
9%9%- !I4S =Sistemas de detecci3n de intrusiones de host?%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% ;;
9%9%: Eirewalls =Cortafuegos?%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;;
9%9%9 Sandbo&es =Ca"as de arena?%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% ;;
9%A Sanos Conse"os de Seguridad%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%;+
M/s Informaci3n%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%% ;@
!
LECCIN 6 MALWARE
Contrib"ciones
Simon >iles$ Computer Security Online 'td%
Fim Truett$ ISECOM
*ete !er6og$ ISECOM
Marta >arcel3$ ISECOM
Erank Craig$ 7( IngenierGa de Sistemas S7'
Haume bella$ 'a Salle 87' # ISECOM
#
LECCIN 6 MALWARE
SSON 6 MALWARE
6$% Introd"ccin
0Malware1 son a5uellos programas o partes de ellos 5ue tienen un efecto malicioso en la
seguridad de tu ordenador% Este t2rmino engloba muchas definiciones las cuales de seguro
ya has oGdo hablar como 0<irus1$ 0Iorm =gusano?1 y 0Tro"an =troyano?1 y otras de las 5ue
posiblemente no hayas oGdo hablar como 07ootkit1$ 0'ogicbomb =bomba l3gica?1 y
0Spyware1% Este capGtulo presentar/$ definir/ y e&plicar/ cada una de estas subclases de
malware$ brindar/ e"emplos y e&plicar/ algunas de las contramedidas 5ue pueden ser
puestas en pr/ctica para restringir los problemas 5ue causa el malware%
&
LECCIN 6 MALWARE
6$' (ir"s
6$'$' Introd"ccin
<irus J este es el tipo de malware del cual la gente est/ m/s concien6ada% 'a ra63n de 5ue
se cono6ca como 0virus1 es solamente hist3rica% l mismo tiempo 5ue se dio a conocer la
aparici3n del primer virus inform/tico los medios publicaban artGculos acerca de la
distribuci3n del virus del SI4% 'os paralelismos 5ue se daban entre ambos$ la propagaci3n
debido a la interacci3n con un medio infectado$ la dependencia de un medio transmisor y
la eventual 0muerte1 de todo anfitri3n infectado fomentaron esta definici3n% Este paralelismo
hi6o creer$ y a.n lo hace$ 5ue la gente podrGa llegar a infectarse con un virus inform/tico%
6$'$2 )escri*cin
'os virus son programas auto replicantes 5ue al igual 5ue un virus biol3gico se ad"untan a
otro programa$ o en el caso de virus 0macro1 se ad"untan a otro archivo% El virus se e"ecuta
solamente cuando se e"ecuta el programa o se abre el archivo infectado% Esto es lo 5ue
diferencia a los virus de los gusanos: si no se accede al programa o archivo entonces el virus
no se e"ecutar/ y por lo tanto no se replicar/%
E&isten distintos tipos de virus aun5ue la forma m/s com.n de encontrarlos hoy en dGa es en
el formato 0virus macro1$ mientras otros como los virus de sector de arran5ue =boot sector?
s3lo se encuentran en 0cautividad1%
6$'$2$' (ir"s de +ector de Arran,"e -.oot +ector (ir"ses/
El virus de sector de arran5ue fue el primer virus en ser creado% Se esconde en el c3digo
e"ecutable del sector de arran5ue de los discos de arran5ue$ lo 5ue significaba 5ue para
infectar un ordenador habGa 5ue iniciarlo desde un diskette de arran5ue infectado% !ace
mucho tiempo atr/s =;: aKos apro&imadamente? iniciar el ordenador desde un diskette de
arran5ue era algo bastante usual$ lo 5ue signific3 5ue los virus se distribuGan r/pidamente$
antes de 5ue la gente se diera cuenta de lo 5ue estaba ocurriendo% Este tipo de virus =y
tambi2n los dem/s? deben de"ar una marca digital para evitar 5ue se infecte repetidamente
el mismo ob"etivo% Es esta firma la 5ue permite 5ue ciertos programas =como por e"emplo los
antivirus? detecten la infecci3n%
6$'$2$2 (ir"s de Arc0i1os E2ec"tables
El virus de rchivos E"ecutables se ad"unta a archivos del tipo %e&e o %com% lgunos virus
buscaban programas 5ue formaran parte especGficamente del sistema operativo y por ello
se e"ecutaban cada ve6 5ue se encendGa el ordenador$ aumentando asG sus posibilidades de
una e&itosa propagaci3n del virus% E&istGan unas cuantas maneras de ad"untar un virus a un
archivo e"ecutable$ aun5ue algunas funcionaban me"or 5ue otras% El m2todo m/s simple y
menos sutil era la de sobrescribir la primer parte del archivo con c3digo de virus$ lo 5ue
significaba 5ue el virus se e"ecutaba pero el resto del programa no funcionaba
correctamente% Esto era una clara seKal 5ue habGa una infecci3n J especialmente si el
programa era una parte esencial del sistema operativo%
6
LECCIN 6 MALWARE
6$'$2$! (ir"s Residentes en Memoria -3erminate and +ta4 Resident 5 3+R/
'a sigla TS7 viene del 4OS y significa 5ue un programa se carga en memoria y 5ueda
residente en segundo plano permitiendo al ordenador traba"ar en primer plano de manera
normal% Estos virus m/s avan6ados podGan interceptar llamadas al sistema operativo =system
calls? 5ue podrGan e&poner su e&istencia y respondGan con respuestas falsas$ evitando de esta
manera su descubrimiento y)o limpie6a% Otros se ad"untaban al comando LdirM e infectaban
todas las aplicaciones listadas en el directorio% lgunos hasta detenGan =o borraban? los
programas anti#virus%
6$'$2$# (ir"s 6olimrfico
'os primeros virus eran bastante f/ciles de detectar ya 5ue poseGan una cierta firma digital
dentro de ellos para evitar una re#infecci3n o simplemente por5ue poseGan una estructura
especGfica 5ue permitGa su detecci3n% 'uego aparecieron los virus polim3rficos% *oli =muchas?
M3rficos =formas?% Estos virus se modificaban cada ve6 5ue se replicaban$ reordenando su
c3digo$ cambiando de encriptaci3n$ generando un nuevo c3digo 5ue parecGa totalmente
distinto al original%
Esto cre3 un gran problema ya 5ue las firmas a detectar eran cada ve6 m/s pe5ueKas y los
m/s avan6ados solo se detectaban mediante algoritmos 5ue comparaban combinaciones%
Esto se acentu3 por la aparici3n de kits de generaci3n de virus polim3rficos 5ue se
distribuyeron en la comunidad de autores de virus 5ue permitGan generar cual5uier virus
como polim3rfico%
6$'$2$& (ir"s de Macro
'os virus de Macro hacen uso de la habilidad de muchos programas de e"ecutar c3digo% 'os
programas como Iord y E&cel poseen versiones de lengua"e de programaci3n <isual >asic
limitados en funciones pero muy poderosos% Esto permite la automati6aci3n de tareas
repetitivas y la configuraci3n autom/tica de ciertos par/metros% Estos lengua"es de macros
se utili6an maliciosamente para adosar c3digo viral a los documentos los cuales copiar/n el
c3digo viral a otros documentos$ lo 5ue resulta en una propagaci3n del virus% un5ue
Microsoft ha desactivado esa propiedad en las nuevas versiones$ Outlook =el programa de
correo? e"ecutaba cierto tipo de c3digo adosado a los mensa"es de correo de manera
autom/tica apenas eran abiertos% Eso significaba 5ue los virus se propagaban r/pidamente
envi/ndose a toda la lista de direcciones de correo 5ue habGa en el ordenador infectado%
Esto ya ha sido solucionado en las .ltimas versiones del producto%
E2ercicios7
;? 8tili6ando Internet intenta encontrar un e"emplo de cada tipo de virus definido
previamente%
+? Investiga el virus Fle6 :
# Ncual es su 0carga destructiva1 =payload?O
# el virus Fle6 es muy conocido por su t2cnica de S*OOEI(B% NPu2 es S*OOEI(B y como es
utili6ado por el virus ElesO
# acabas de enterarte 5ue tu ordenador est/ infectado con el virus Fle6% Investiga como
eliminar el virus%
8
LECCIN 6 MALWARE
@? cabas de recibir un mensa"e de correo con el asunto 0Iarning about your email
account1 =advertencia acerca de tu cuenta de correo?% El cuerpo del mensa"e e&plica
5ue tu uso indebido del correo electr3nico resultar/ en la p2rdida de tus privilegios de
Internet y 5ue deberGas ver el archivo ad"unto para m/s informaci3n% *ero 5ue a ti te
conste t. no has hecho nada raro con el correo electr3nico% NSospechasO 4eberGas%
Investiga esta informaci3n y determina 5ue virus se encuentra ad"unto al mensa"e%
6$2 9"sanos
6$2$' Introd"ccin
'os Busanos son antecesores a los <irus% El primer gusano fue creado muchos aKos antes del
primer virus% Este gusano hacGa un uso indebido del comando finger de 8(IQ para
r/pidamente detener el acceso a Internet =5ue era sustancialmente menor en esos dGas?% 'a
siguiente secci3n trata el tema de los gusanos%
6$2$2 )escri*cin
8n gusano es un programa 5ue una ve6 e"ecutado se replica sin necesidad de la
intervenci3n humana% Se propagar/ de anfitri3n en anfitri3n haciendo uso indebido de un
servicio=s? desprotegido=s?% travesar/ la red sin la necesidad de 5ue un usuario envGe un
archivo o correo infectado% 4ebes tener en cuenta 5ue la mayorGa de los sucesos 5ue han
aparecido en los medios .ltimamente se deben a gusanos y no a virus%
E2ercicios7
;? 8tili6ando Internet$ intenta encontrar informaci3n del primer gusano 5ue se haya creado%
+? verigua cual es la vulnerabilidad 5ue utili6an el gusano Code 7ed y (imda para
propagarse%
6$! 3ro4anos 4 +*4:are
6$!$' Introd"ccin
El primer Caballo de Troya fue creado por los Briegos hace miles de aKos =piensa en la
pelGcula Troya si la has visto?% El concepto b/sico es 5ue dentro de un sistema 5ue parece
seguro se introduce algo malicioso pero disfra6ado como sano% Este disfra6 podr/ ser desde el
anticipo de un "uego ba"ado de Internet hasta un mensa"e de correo electr3nico
prometiendo im/genes pornogr/ficas de tu celebridad preferida% Esta secci3n cubre en
detalle los troyanos y el spyware%
6$!$2 )escri*cin
'os Troyanos son c3digos maliciosos 5ue intentan mostrarse como algo .til o apetecible para
5ue uno lo e"ecute% 8na ve6 e"ecutados intentar/n instalar un backdoor o rootkit =ver secci3n
;
LECCIN 6 MALWARE
9%-?$ o a.n peor$ intentar/n marcar un n.mero de tel2fono de acceso a Internet de alto
coste$ lo 5ue te costar/ mucho dinero%
Spyware es c3digo 5ue se instala clandestinamente casi siempre de sitios de Internet 5ue t.
puedas visitar% 8na ve6 instalado buscar/ en tu ordenador informaci3n 5ue considere de
valor% Esto podr/n ser o estadGsticas de tu utili6aci3n de Internet o hasta tu n.mero de tar"eta
de cr2dito% lgunas versiones de Spyware inadvertidamente se dan a conocer por5ue
hacen aparecer avisos en tu escritorio de manera irritante%
E2ercicios7
;? Mediante Internet encuentra un e"emplo de troyanos y spyware%
6$# Root<its 4 .ac<doors
6$#$' Introd"ccin
menudo cuando un ordenador ha sido vulnerado por un hacker$ 2l mismo intentar/ instalar
un m2todo para poder accederlo f/cilmente a voluntad% E&isten muchas variaciones de
estos programas algunos de los cuales se han vuelto bastante famosos J Rbusca en Internet
0>ack Orifice1 S
6$#$2 )escri*cin
7ootkits y backdoors son c3digos maliciosos 5ue elaboran metodologGas para permitir el
acceso a un ordenador% <an desde los m/s simples =un programa escuchando en un puerto
determinado? hasta los m/s comple"os =un programa 5ue esconder/ sus procesos en
memoria$ modificar/ los archivos de registros y escuchar/ en un puerto?% menudo un
backdoor ser/ tan simple como crear un usuario 5ue tiene privilegios de super#usuario con la
esperan6a de 5ue no se note% Esto se debe por5ue un backdoor est/ diseKado para evitar el
control normal de autenticaci3n de un sistema% Tanto el virus Sobig como el virus My4oom
instalan backdoors como parte de su carga destructiva%
E2ercicios7
;? Encuentra en Internet e"emplos de rootkits y backdoors%
+? Investiga acerca de 0>ack Orifice1 y compara sus funcionalidades con las de los
programas de acceso remoto promocionados por Microsoft%
=
LECCIN 6 MALWARE
6$& .ombas L>icas 4 .ombas de 3iem*o
6$&$' Introd"ccin
lgunos programadores o administradores de sistemas pueden ser bastante peculiares% Se ha
sabido de ciertos sistemas donde se han e"ecutado algunos comandos en base a la
ocurrencia de ciertas condiciones especGficas% *or e"emplo: se puede crear un programa
donde si el administrador no entra en el sistema en tres semanas 2l mismo empe6ar/ a borrar
bits al a6ar del disco% En el aKo ;DD+ se dio un caso 5ue cobr3 notoriedad en la compaKGa
Beneral 4ynamics 5ue involucr3 a un programador% El programador cre3 una bomba l3gica
5ue se activarGa una ve6 5ue se fuera y 5ue borrarGa informaci3n crGtica% Tl esperaba 5ue la
compaKGa le pagara una buena suma para volver y arreglar el problema% Sin embargo otro
programador descubri3 la bomba l3gica antes 5ue e&plotara y el programador malicioso
fue sentenciado y multado con :%,,, 8SU% parentemente el "ue6 fue benevolente ya 5ue los
cargos por los 5ue fue sentenciado podGan tener una sentencia de prisi3n y hasta :,,%,,,
8SU de multa%
6$&$2 )escri*cin
'as >ombas l3gicas y bombas de tiempo son programas 5ue no poseen rutinas de
replicaci3n y no pueden crear accesos remotos$ pero son o forman parte de aplicaciones
5ue causar/n daKo o modificaciones a los datos si son activados% *ueden ser entes
individuales o formar parte de gusanos o virus% 'as bombas de tiempo est/n programadas
para liberar su carga destructiva en un momento determinado% 'as bombas l3gicas est/n
programadas para liberar su carga destructiva cuando ocurren determinados eventos% El
principio de una bomba de tiempo tambi2n se puede aplicar en programaciones no
maliciosas% *or e"emplo el concepto de bomba de tiempo nos permite evaluar un programa
por un perGodo de tiempo$ normalmente treinta dGas$ despu2s del cual el programa cesa de
funcionar% Este es un e"emplo de programaci3n no maliciosa 5ue involucra el concepto de
bomba de tiempo%
E2ercicios7
;? NPue otros usos ra6onables =y legales? pueden darse a los conceptos de bomba de
tiempo y bomba l3gicaO
+? *iensa como puedes detectar un programa de este tipo en tu ordenador%
6$6 Contramedidas
6$6$' Introd"ccin
E&isten muchos m2todos por los cuales se puede detectar$ eliminar y prevenir el malware%
lgunos m2todos no son m/s 5ue sentido com.n mientras otros involucran cierta tecnologGa%
'a siguiente secci3n resalta algunos de estos m2todos e incluye una breve e&plicaci3n y
brinda e"emplos%
'%
LECCIN 6 MALWARE
6$6$2 Anti5(ir"s
El software anti#virus est/ disponible en varias versiones comerciales y tambi2n en Open
Source% Todas funcionan con la misma metodologGa% *oseen una base de datos de las firmas
de los virus y las comparan con los archivos del sistema para ver si e&iste alguna infecci3n%
menudo con los virus actuales las firmas son muy pe5ueKas y pueden dar falsos positivos$ es
decir$ detecciones 5ue aparentan ser virus y no lo son% lgunos programas anti#virus utili6an
una t2cnica conocida como 0heurGstica1$ 5ue significa 5ue en base al concepto de 5u2
forma debiera tener un virus pueden determinar si un programa desconocido se adecua a
este concepto% 7ecientemente los anti#virus han cru6ado el umbral de los sistemas de
prevenci3n de intrusiones de host$ verificando 5ue no se produ6can anomalGas en el
funcionamiento de los programas est/ndar%
6$6$! NI)+ -+istemas de deteccin de intr"siones de red/
'os sistemas de detecci3n de intrusiones de red son similares a los anti#virus pero aplicado al
tr/fico de la red% >uscan en el tr/fico de red firmas o comportamientos debidos a un virus o
gusano% *ueden alertar al usuario atacado o detener el tr/fico de red 5ue intenta distribuir el
malware%
6$6$# ?I)+ -+istemas de deteccin de intr"siones de 0ost/
'os sistemas de detecci3n de intrusi3n de host$ tal como Tripwire$ son capaces de detectar
cambios reali6ados sobre archivos en un servidor% Es ra6onable esperar 5ue un archivo una
ve6 compilado no necesite ser modificado% 'uego$ mediante el control de sus caracterGsticas$
tales como tamaKo$ fecha de creaci3n y control de integridad pueden detectar
inmediatamente si ha ocurrido algo irregular%
6$6$& @ire:alls -Cortaf"e>os/
'os gusanos se propagan por la red conect/ndose a servicios vulnerables en cada sistema%
dem/s de asegurarte 5ue estos servicios vulnerables no se est2n e"ecutando en tu
ordenador el siguiente paso es verificar 5ue tu firewall no permita cone&iones a estos
servicios% Muchos firewalls modernos reali6an alg.n tipo de filtrado de pa5uetes similar a un
(I4S lo cual frenar/ los pa5uetes 5ue coincidan con ciertas firmas% =nali6aremos los firewalls
con m/s detalle en la secci3n A%;%+?%
6$6$6 +andboAes -Ca2as de arena/
El concepto de sandbo&es es simple: una aplicaci3n o programa tiene su propio entorno
para e"ecutarse y no puede afectar al resto del sistema% Este concepto se implementa como
est/ndar en el lengua"e de programaci3n Hava y tambi2n puede implementarse a trav2s de
otras utilidades como chroot en 'inu&% Esto restringe el daKo 5ue un malware pueda
ocasionarle al sistema operativo anfitri3n simplemente restringi2ndole los accesos re5ueridos%
Otra opci3n es la de crear un ordenador virtual completo mediante un producto como
<MIare% Esto aGsla al ordenador virtual del sistema anfitri3n limitando el acceso del mismo
seg.n lo haya configurado el usuario%
E"emplo J http:))www%vmware%com J <MIare virtual machines
''
LECCIN 6 MALWARE
E2ercicios7
;% El "uego de las coincidencias: investiga cada una de las siguientes referencias y asocia el
tipo de contramedida 5ue le corresponda:
;% http:))www%vmware%com a% (I4S
+% http:))www%tripwire%org b% ntivirus
@% http:))www%snort%org c% Eirewalls
-% http:))www%checkpoint%com d% Sandbo&es
:% http:))www%sophos%com e% !I4S
+% Investiga 0Spybot Search and 4estroy1 y determina de 5ue tipo de malware protege%
@% verigua como funcionan los (I4S y !I4S%
-% nali6a las soluciones de Eirewalls en la red%
:% >usca 0chroot1 en Internet e inf3rmate acerca de este tipo de 0c/rcel1 o 0ca"a de arena1%
LESSON 6 MALWARE
6$8 +anos Conse2os de +e>"ridad
E&isten varios procedimientos simples 5ue minimi6ar/n tu e&posici3n al Malware%
4escarga informaci3n .nicamente de sitios confiables =esto significa no I-7@V$ por
favor?
(o abras nunca ficheros ane&ados de un e#mail de gente 5ue no cono6cas%
(o de"es las macros activadas por defecto en tus aplicaciones%
Mant2n tu sistema operativo y aplicaciones actuali6adas con las .ltimas versiones%
Si descargas o instalas software acompaKado de un checksum J comprueba dicho
checksum%
LESSON 6 MALWARE
'2
LECCIN 6 MALWARE
MBs Informacin
Sitios de proveedores de nti#<irus
http:))www%sophos%com
http:))www%symantec%com
http:))www%fsecure%com
http:))www%mcafee%com
Todos estos sitios poseen bases de datos donde enumeran las propiedades de troyanos$ virus
y otros malware% Tambi2n hay descripciones de sus funcionamientos
http:))www%cess%org)adware%htm
http:))www%microsoft%com)technet)security)topics)virus)malware%msp&
http:))www%6eltser%com)sans)gcih#practical)revmalw%html
http:))www%securityfocus%com)infocus);999
http:))www%spywareguide%com)
http:))www%brettglass%com)spam)paper%html
http:))www%lavasoft%nu) # dware Cleaning Software =Ereeware <ersion?
http:))www%claymania%com)removal#tools#vendors%html
http:))www%io%com)Wcwagner)spyware%html
http:))www%bo+k%com)
http:))www%sans%org)rr)catinde&%phpOcatXidY@9
'!
LECCIN 6 MALWARE